Помогите разобраться с результатом сканирования Anti-Malware

  • Автор темы Автор темы Disput
  • Дата начала Дата начала

Disput

Новый пользователь
Сообщения
2
Реакции
0
Доброго времени! Ситуация следующая: после сканирования,утилита Anti-Malware (версия 2.0.3.1025) обнаружила 48 вирусов,в логах(текстовый документ) абсолютно всё чисто. Вопрос - кому верить,логу,или отчёту?
 
утилита Anti-Malware (версия 2.0.3.1025) обнаружила 48 вирусов
Не все что она находит обязательно является вирусом, поэтому нужно быть аккуратным в удалении чего либо через MBAM. Сделайте скриншот того что нашла MBAM.
 
Disput, большая часть из найденного это ваши кряки. 2 часть из найденного относится к нежелательному ПО, которое может быть установлено без ведома пользователя, но опять же вирусом такое ПО не является.
 
Не надо забывать, что под видом крэков к программам могут и вирусы распространять. Или двойного назначения файл может быть, вот пример.
 
Последнее редактирование модератором:
VT не панацея, но хороший помощник.
 
Сегодня выполнил обычную проверку своего ноутбука MB4. Обычно она ничего не находит, а вот в этот раз нашла 16 объектов TrojanDisabledAV. Привожу полный лог программы
Код:
Malwarebytes
www.malwarebytes.com

-Данные журнала-
Дата проверки: 22.04.2020
Время проверки: 16:58
Файл журнала: 5e81b1a2-84a1-11ea-aef5-10bf481e78af.json

-Информация о ПО-
Версия: 4.1.0.56
Версия компонентов: 1.0.835
Версия пакета обновления: 1.0.22770
Лицензия: Бесплатная версия

-Информация о системе-
ОС: Windows 7 Service Pack 1
Процессор: x64
Файловая система: NTFS
Пользователь: NOTEBOOK\Matias

-Отчет о проверке-
Тип проверки: Полная проверка
Способ запуска проверки: Вручную
Результат: Завершено
Проверено объектов: 235578
Обнаружено угроз: 16
Помещено в карантин: 16
Затраченное время: 10 мин, 42 с

-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Включено
Эвристика: Включено
PUP: Обнаружение
PUM: Предупредить

-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)

Модуль: 0
(Вредоносные программы не обнаружены)

Раздел реестра: 16
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\1990649205B55EAB5D692E9EDB1BE0DDD3B037DE, Помещено в карантин, 6754, 813677, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\3AD010247A8F1E991F8DDE5D47989CB5202E5614, Помещено в карантин, 6754, 813678, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\6A2C691767C2F1999B8C020CBAB44756A99A0C41, Помещено в карантин, 6754, 813679, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\1990649205B55EAB5D692E9EDB1BE0DDD3B037DE, Помещено в карантин, 6754, 813677, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\3AD010247A8F1E991F8DDE5D47989CB5202E5614, Помещено в карантин, 6754, 813678, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\6A2C691767C2F1999B8C020CBAB44756A99A0C41, Помещено в карантин, 6754, 813679, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9, Помещено в карантин, 6754, 813680, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9, Помещено в карантин, 6754, 813680, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\8835437D387BBB1B58FF5A0FF8D003D8FE04AED4, Помещено в карантин, 6754, 813681, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\8835437D387BBB1B58FF5A0FF8D003D8FE04AED4, Помещено в карантин, 6754, 813681, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\9FEB091E053D1C453C789E8E9C446D31CB177ED9, Помещено в карантин, 6754, 813682, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\9FEB091E053D1C453C789E8E9C446D31CB177ED9, Помещено в карантин, 6754, 813682, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1, Помещено в карантин, 6754, 813683, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1, Помещено в карантин, 6754, 813683, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\D3FD325D0F2259F693DD789430E3A9430BB59B98, Помещено в карантин, 6754, 813684, 1.0.22770, , ame,
Trojan.DisabledAVSecurityCerts, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\SYSTEMCERTIFICATES\DISALLOWED\CERTIFICATES\D3FD325D0F2259F693DD789430E3A9430BB59B98, Помещено в карантин, 6754, 813684, 1.0.22770, , ame,

Значение реестра: 0
(Вредоносные программы не обнаружены)

Данные реестра: 0
(Вредоносные программы не обнаружены)

Поток данных: 0
(Вредоносные программы не обнаружены)

Папка: 0
(Вредоносные программы не обнаружены)

Файл: 0
(Вредоносные программы не обнаружены)

Физический сектор: 0
(Вредоносные программы не обнаружены)

Инструментарий управления Windows (WMI): 0
(Вредоносные программы не обнаружены)


(end)
Троян препятствует запуску различного защитного ПО, добавляя его сертификаты в список недоверенных. Однако все защитное ПО, установленное на ноутбуке (Privatefirewall, Avira, ESET Online Scanner, Emsisoft Emergency Kit и сама MB4), работает в штатном режиме.
Какому ПО принадлежат эти сертификаты? Какая программа могла добавить их к списку недоверенных?
 
Последнее редактирование:
Если какой-то зловред все же похозяйничал в системе (хотя это крайне маловероятно), то почему MB4 нашла следы его деятельности, но не его самого? Ведь программа не обнаружила никаких файлов, она нашла только записи реестра, связанные с сертификатами определенного защитного ПО, попавшими в список недоверенных.
 
Само уничтожился. Вероятно остались еще скрытые папки ряда известных антивирусов. В разделе лечения провериться не хотите?
Сейчас я проверю, не созданы ли в системе какие-нибудь папки, имеющие отношение к защитному софту. Думаю, в проверке системы нет нужды, поскольку ни одна из перечисленных мной программ не нашла ничего подозрительного.
 
Нашел на BleepingComputer статью про CertLock, в которой утверждается, что он прописывается в автозагрузку для однократного запуска. Странно, что Privatefirewall с его параноидальной проактивной защитой проморгал этого зловреда. Любой приличный файервол должен воспринимать запуск любой программы из временной папки как подозрительную активность и информировать об этом пользователя. В той же самой статье написано, что троян распространяется в качестве нежелательного довеска к другому ПО. Я прекрасно помню, что за последнюю неделю не устанавливал на ноутбук никаких программ. При прошлой проверке MB4 не обнаружила этого зловреда. Значит, неделю назад его в системе вообще не было.
 
Последнее редактирование:
Не ставьте диагнозов, не факт, что это он. Подобный механизм блокировки много софта использует... посмотрим какой софт блокируется при помощи лога hjt (тот, что форк)
 
посмотрим какой софт блокируется при помощи лога hjt (тот, что форк)
Ни одна из установленных на ноутбуке защитных программ не блокируется, но проверить не мешает. Форк HJT распространяется отдельно или его можно скачать только в составе Автологгера?
 
Вчера выполнил проверку не только ноутбука с Семеркой, но и десктопа с XP. Там тоже были обнаружены недоверенные сертификаты защитного ПО. Ниже привожу часть лога MBAM 1.75:
Код:
Обнаруженные ключи в реестре:  8
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\1990649205B55EAB5D692E9EDB1BE0DDD3B037DE (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\3AD010247A8F1E991F8DDE5D47989CB5202E5614 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\6A2C691767C2F1999B8C020CBAB44756A99A0C41 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\6B6FA65B1BDC2A0F3A7E66B590F93297B8EB56B9 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\8835437D387BBB1B58FF5A0FF8D003D8FE04AED4 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\9FEB091E053D1C453C789E8E9C446D31CB177ED9 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\C597D4E7FF9CE5BD3EC321C11827FCA9294A6BA1 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
HKLM\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates\D3FD325D0F2259F693DD789430E3A9430BB59B98 (Trojan.DisabledAVSecurityCerts) -> Помещено в карантин и успешно удалено.
Никаких файлов программа не обнаружила.
 
Последнее редактирование:
.. посмотрим какой софт блокируется при помощи лога hjt (тот, что форк)
Прицепил лог с ПК под XP, но там нет никакой информации о блокируемом защитном ПО.
 

Вложения

Прицепил лог с ПК под XP, но там нет никакой информации о блокируемом защитном ПО.
После того как вы удалили все следы в MBAM не удивительно, что там их уже не видно.

А вообще мне не понятно, с чего вы решили, что это вирус и что это сертификаты от антивирусов? Поверили на слово MBAM? Думал, все знают, что эта утилита часто ошибается.
Конечно после того как вычистили до создание лога Джека немного трудно говорить, что это было, но похоже это отозванные сертификаты которые выпускал комодо. Так что правильно, что они были у вас заблокированы и удалив это вы наоборот ослабили защиту системы.
 
Так что правильно, что они были у вас заблокированы и удалив это вы наоборот ослабили защиту системы.
Удаленные записи реестра можно без проблем восстановить из карантина MBAM.
 
Назад
Сверху Снизу